IT- und OT-Sicherheit: Was nicht nur KRITIS-Anbieter beachten sollten

Betreiber kritischer Infrastrukturen sind immer stärker im Visier von Cyber-Kriminellen. Mittlerweile geht es den Angreifern nicht allein darum, Geld zu machen. [...]

Lothar Hänsler, Operating Officer bei RADAR Cyber Security. (c) RADAR
Lothar Hänsler, Operating Officer bei RADAR Cyber Security. (c) RADAR

Immer häufiger üben sie Druck auf ihre Opfer aus und drohen, gestohlene Daten zu veröffentlichen oder ohne Wissen der Betroffenen im Darknet anzubieten. In immer mehr Fällen beabsichtigen sie auch, Netzwerksysteme – auch die nationalstaatlichen – empfindlich zu stören. Ein bedrohlicher Trend, der 2023 weiter Fahrt aufnehmen wird.

Wer sich einmal die Mühe macht und genauer in den aktuellen Investment-Report der Agentur der Europäischen Union für Cyber-Sicherheit ENISA schaut, erfährt Erschreckendes über die Nachlässigkeiten europäischer Betreiber kritischer und digitaler Dienste – allen Cyber-Gefahren zum Trotz: Die durchschnittlichen Budgets für IT-Sicherheit haben sich 2022 im Vergleich zum Jahr davor mit 6,7 Prozent noch einmal um ein Prozent verringert. Der Gesamtschaden für Unternehmen und Organisationen, der auf Cybercrime zurückzuführen ist, wird für das Jahr 2022 laut Statista auf eine verheerende Summe von 203 Milliarden Euro allein in Deutschland geschätzt. Finanzsektor und Gesundheitswesen sind nach wie vor die Bereiche mit den höchsten Kosten für Zwischenfälle.

Und es geht noch schlimmer: Lediglich ein Viertel (27 Prozent) der befragten öffentlichen Arbeitsverwaltungen im Gesundheitssektor verfügt über ein spezielles Programm zur Abwehr von Ransomware. Zudem haben vier von zehn (40 Prozent) der befragten Behörden kein Awareness-Programm zur Sensibilisierung ihrer Mitarbeitenden parat. Und nach wie vor ist die sich ständig verändernde Bedrohungslage um Ransomware und E-Mail eine der größten Gefahren für Unternehmen und Behörden.

Technologie, Awareness und Prozesse

Nicht nur als Folge des russischen Angriffskriegs auf die Ukraine sollten viele KRITIS-Betreiber 2023 die gegenwärtige Bedrohungslage ernst nehmen. Cyber-Angriffe sind mittlerweile ein Mittel der politischen Auseinandersetzung. Die behördlichen IT-Systeme werden aller Voraussicht nach künftig vermehrt DDoS-Attacken verzeichnen. Organisationen, Unternehmen und Behörden sollten daher ihr Hauptaugenmerk auf die E-Mail-Security lenken und auf ein dreiteiliges Maßnahmenpaket setzen, bestehend aus Technologie, Personal und Prozessen.

IT-Infrastrukturen müssen konsequent resistenter werden. Zero-Trust-Netzwerke, die Absicherung von Remote-Zugängen sowie der Einsatz von Endpoint Detection and Response (EDR) werden künftig unverzichtbar sein. Da das industrielle Internet der Dinge (kurz IIoT) immer mehr im Fokus von Hackern liegt, ist es außerdem ratsam, IT- und OT-Security sicher zu verbinden. Äußerst wichtig ist es auch, sich auf die Aufklärung und Sensibilisierung der Mitarbeitenden zu konzentrieren. Das hilft aber effektiv nur weiter, wenn es sich um eine kontinuierliche Bewusstseinskampagne handelt.

Die ganzheitliche und konsolidierte Betrachtung des Sicherheitsaspekts wird – zusammen mit Risikomanagement – immer notwendiger. Noch betreibt knapp über ein Drittel der europäischen KRITIS-Unternehmen und Anbieter digitaler Services kein Security Operation Center (SOC). Im Energiesektor ist es weniger als jeder Dritte der europäischen KRITIS-Betreiber, der seine OT-Prozesse von einem SOC überwachen lässt.

Cyber-Sicherheit muss strategisches Thema werden

Zwar kann ein Chief Information Security Officer (CISO) mit dem richtigen Einsatz der Produkte, Prozesse und Mitarbeiter viel Schaden abwenden. Ein gelungener Ransomware-Angriff, verbunden mit der Verschlüsselung kritischer Informationen, hat jedoch eine gesamtgeschäftliche Auswirkung. Die Entscheidung, ob im Ernstfall Lösegeld gezahlt werden soll, ist eine wirtschaftliche Entscheidung. Sie obliegt nicht allein dem CISO. Die Vorbereitung auf etwaige Cyber-Angriffe, unterstützt durch Trainings wie zum Beispiel Table-Top-Übungen, ist ein Schlüsselelement der Geschäftskontinuität. Zudem werden Geschäftsführungen durch den Zeit- und Entscheidungsdruck anfälliger für die Erpressung. Auch hier gilt es gegenzusteuern. Eine starke Cyber-Resilienz ist daher längst nicht mehr alleinige Aufgabe der IT-Abteilung – sondern muss ein strategisches Thema sein, mit dem sich das Management seine Handlungsfähigkeit sichert.

Um sich zu schützen, reicht eine Maßnahme allein nicht aus. Doch mit einem mehrschichtigen Sicherheitsansatz aus kontinuierlichen Mitarbeitertrainings, robusten Prozessen zur Sicherung der Geschäftskontinuität, europäischer Erkennungstechnologie und professioneller Unterstützung durch Security-Personal lassen sich die Risiken minimieren. Vorbereitete, resiliente Organisationen können verdächtige Vorgänge richtig einordnen und entsprechend darauf reagieren, bevor der große Schaden eintritt – auch im neuen Jahr 2023.

*Lothar Hänsler ist Operating Officer bei RADAR Cyber Security.


Mehr Artikel

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*